建立輸入程式或服務規則

• 適用於:

  ✅ Windows 10 and later, ✅ Windows Server 2016 and later

若要允許對指定程式或服務的輸入網路流量，請使用 群組原則 管理 MMC 嵌入式管理單元中的 [Windows Defender 防火牆與進階安全性] 節點來建立防火牆規則。 這種類型的規則可讓程式接聽和接收任何埠上的輸入網路流量。

注意： 這種類型的規則通常會與程式或服務規則結合。 如果您結合規則類型，您會取得防火牆規則，將流量限制為指定的埠，並且只在指定的程式執行時才允許流量。 程式無法接收其他埠上的網路流量，而且其他程式無法在指定的埠上接收網路流量。 若要將程式和連接埠規則類型結合成單一規則，請遵循建立輸入 連接埠規則 程式中的步驟，以及此程式中的步驟。

系統管理認證

若要完成這些程式，您必須是網域系統管理員群組的成員，或是被委派修改 GPO 的許可權。

建立程式或服務的輸入防火牆規則

1. 開啟 群組原則 管理主控台，以Windows Defender具有進階安全性的防火牆。

2. 在流覽窗格中，按一下 [ 輸入規則]。

3. 按一下 [動作]，然後按一下 [ 新增規則]。

4. 在 [新增輸入規則精靈] 的 [ 規則類型 ] 頁面上，按一下 [ 自訂]，然後按 [ 下一步]。

   注意： 雖然您可以選取 [程式 ] 或 [ 埠] 來建立規則，但這些選項會限制精靈所呈現的頁面數目。 如果您選 取 [自訂]，您會看到所有頁面，而且在建立規則時具有最大的彈性。

5. 在 [ 程式] 頁面上，按一下 [此程式路徑]。

6. 在文字方塊中輸入程式的路徑。 如果適用，請使用環境變數，以確保安裝在不同電腦上不同位置的程式正常運作。

7. 執行下列其中一項：

   • 如果可執行檔包含單一程式，請按 [ 下一步]。

   • 如果可執行檔是多個服務的容器，且必須全部允許這些服務接收輸入網路流量，請按一下 [自訂]，選取 [ 僅套用至服務]，按一下 [ 確定]，然後按 [ 下一步]。

   • 如果可執行檔是單一服務的容器，或包含多個服務，但規則只適用于其中一個服務，請按一下 [自訂]，選取 [ 套用至此服務]，然後從清單中選取服務。 如果服務未出現在清單中，請按一下 [ 套用至具有此服務簡短名稱的服務]，然後在文字方塊中輸入服務的簡短名稱。 按一下 [確定]，然後按 [ 下一步]。

   重要 若要使用 [ 套用至此服務] 或 [使用 此服務簡短名稱套用至服務 ] 選項，服務必須設定安全識別碼 (SID) 類型為 RESTRICTED 或 UNRESTRICTED。 若要檢查服務的 SID 類型，請執行下列命令：

   scqsidtype< ServiceName >

   如果結果為 NONE，則防火牆規則無法套用至該服務。

   若要在服務上設定 SID 類型，請執行下列命令：

   scsidtype< ServiceName >< 類型 >

   在上述命令中，Type > 的 <值可以是UNRESTRICTED或RESTRICTED。 雖然命令也允許 NONE的值，但該設定表示服務無法在防火牆規則中使用，如這裡所述。 根據預設，Windows 中的大部分服務都會設定為 UNRESTRICTED。 如果您將 SID 類型變更為 RESTRICTED，服務可能無法啟動。 建議您只在要用於防火牆規則的服務上變更 SID 類型，並將 SID 類型變更為 UNRESTRICTED。

8. 最佳做法是將程式的防火牆規則限制為只有它需要運作的埠。 在 [通訊 協定和埠 ] 頁面上，您可以指定允許流量的埠號碼。 如果程式嘗試接聽不同于此處指定的埠，則會封鎖該埠。 如需通訊協定和埠選項的詳細資訊，請參閱 建立輸入連接埠規則。 設定通訊協定和埠選項之後，請按 [ 下一步]。

9. 在 [ 範圍] 頁面上，您可以指定規則只套用至此頁面上所輸入 IP 位址的網路流量。 設定為適合您的設計，然後按 [ 下一步]。

10. 在 [ 動作] 頁面上，選取 [ 允許連線]，然後按 [ 下一步]。

11. 在 [ 設定檔] 頁面上，選取套用此規則的網路位置類型，然後按 [ 下一步]。

12. 在 [ 名稱] 頁面上，輸入規則的名稱和描述，然後按一下 [ 完成]。